Press Release english

(1)

モバイルクライアントの基本認証

QlikView テクニカルブリーフ

Published: November, 2011

(2)

はじめに

QlikView Server

をインストールする際、標準セキュリティ構成ではユーザー表示に

Windows

アカウントが、ユー

ザーの認証に

NTLM

が使用されます。ローカルエリアネットワーク上では、

Active Directory

の構成は非常に簡

単です。しかしながら、モバイルデバイスの使用が普及したことで、

NTLM

使用時に共通の問題が生じています。

NTLM

は

Microsoft

プロトコルであるため、

Microsoft

以外の技術は

NTLM

の使用に問題を抱えています。

その

ため、Microsoft

ブラウザを使用しないモバイルデバイス上では、特に問題が発生します。また、ブラウザと、リバー

スプロキシまたは

DMZ

などの

Web

サーバー間で他のネットワークインフラを使用すると、

NTLM

による問題が頻

繁に発生します。

SSL

で基本認証を使用することは、

NTLM

の代替となる安全な方法です。このテクニカルブリーフでは、

IIS

で機能

する基本認証の構成方法とユーザーを表示する

Windows

アカウントについて説明します。

このテクニカルブリーフは、一般的な

QlikView

導入におけるセキュリティ問題の対処方法を詳細に述べてい

る

QlikView Security Overview Technology White Paper

の付属ドキュメントです。

基本認証とは?

基本認証は標準認証プロトコルであり、ユーザーはコンテンツにアクセスする際に有効なユーザー名とパスワードを提

供する必要があります。この認証プロトコルには特別なブラウザは不要です。すべての主要ブラウザがこのプロトコル

をサポートしています。基本認証はファイアーウォールとプロキシサーバーでも機能します。

基本認証はいわゆる HTTP 認証プロトコルの 1 つであり、Web 機能の一部です。ユーザーが Web ページに詳細情

報を入力するフォーム認証とは対照的です。すべての HTTP 認証プロトコルと同様に、ブラウザが標準ポップアップ

ウィンドウにユーザー名とパスワードの入力を促します。Internet Explorer での例を以下に示します。ただし、Web

サーバーの QMC 設定のフォームを使用するという選択もでき、この場合もログインページが表示されます。

図 1：基本認証ポップアップダイアログボックス

基本認証は、暗号化されていない

base64

エンコード方式のパスワードをネットワーク上で送信するため、クライアン

トとサーバー間の接続が安全であることを認識している場合にのみ使用してください。暗号化されていなければ、ネッ

トワークトラフィックを傍受する者は誰でもユーザーのパスワードを知ることができます。従って、セキュアソケットレイ

(3)

ヤ（SSL）を使用して、接続が暗号化されていることを確認することが重要です（この要件は、

Google

、

Yahoo

、

Facebook

など、ほとんどすべての公開 Web サイトで使用されるフォーム認証の場合と同じです）。

IIS 構成

基本認証は Microsoft IIS を使用している場合にのみ使用できます。従って、QlikView Web Server の代わりに、

Web サーバーに IIS を使用する必要があります。Qlikview Server Reference Manual の「Running Microsoft

Internet Information Services」セクション（Chapter 2.5 Completing the Installation）の説明に従って、Qlikview IIS

Support をインストールしてください。

IIS の構成方法は IIS のバージョンによって異なります。IIS のバージョンはお使いの Windows のバージョンによって

異なります。以下をご参照ください。

• Windows XP／Windows Server 2003 ‐ IIS 6

• Windows Vista／Windows Server 2008 ‐ IIS 7

• Windows 7／Windows Server 2008 R2 ‐ IIS 7.5

IIS 7 の構成と IIS 7.5 の構成は同じです。

構成が完了すると、IIS は適切な Web ページに適切な認証プロトコルが使用されていることを確認します。構成は以

下の通りです。

• /QvAjaxZfc/Authenticate.aspx ‐ ユーザー認証のためにユーザーのブラウザが使用 ‐ 基本認証

• /QvAjaxZfc/AccessPointSettings.aspx ‐ QMC から Web サーバーの構成を照会および更新するために

QMS が使用 ‐ 統合 Windows 認証

• /QvAjaxZfc/GetTicket.aspx ‐ 外部認証システムがエンドユーザーの認証のためにオプションで使用 ‐ 無

効化または統合 Windows 認証

• その他すべて ‐ 認証プロトコルによって保護できないため、匿名に設定する必要があります。

基本認証を有効化する IIS 6.0 の構成

1. まず、/QvAjaxZfc フォルダのすべての認証をオフにします。

a. IIS Manager で[local computer]をダブルクリックし、[Web Sites]フォルダを右クリックし、/QvAjaxZfc

の[virtual]フォルダを選択し、[Properties]をクリックします。

b. [Directory Security]タブをクリックし、[Authentication and access control]セクションで[Edit]をクリック

します。

c.

[Authenticated access]セクションで[Anonymous authentication]チェックボックスを選択し、それ以外

は選択しません。

(4)

2. 次に、/QvAjaxZfc/Authenticate.aspx に基本認証を構成します。

a. IIS Manager で[local computer]をダブルクリックし、[Web Sites]フォルダを右クリックし、/QvAjaxZfc

の[virtual]フォルダを選択し、Authenticate.aspx で[Properties]を右クリックします。

b. [File Security]タブをクリックし、[Authentication and access control]セクションで[Edit]をクリックします。

c.

[Authenticated access]セクションで[BASIC authentication]チェックボックスを選択し、それ以外は選

択しません。

d. 基本認証はネットワーク上で暗号化されていないパスワードを送信するため、続行するかどうかを確認

するダイアログボックスが表示されます。[Yes]をクリックして続行します。

e. [Realm]ボックスに、「QlikView」などの値を入力します。これで、Realm メタベースプロパティの値が構

成されます。基本認証を使用している場合は、Realm プロパティを設定すると、クライアントのログイン

ダイアログボックスにその値が表示されます。Realm の値は情報提供のみを目的としてクライアントに

送信されます。基本認証を使用したクライアントの認証には使用されません。ブラウザが同じ Web サイ

トのさまざまな部分のさまざまなパスワードを覚えられるようにすることがその唯一の目的であるため、

それほど重要なものではありません。

f.

[OK]を 2 回クリックします。

3. /QvAjaxZfc/AccessPointSettings.aspx および/QvAjaxZfc/GetTicket.aspx を再構成します。

a. 上記の各ページで、先に説明したように[Properties]タブと[File Security]タブを開きます。

b. [Windows Integrated Authentication]のみを選択します。

c.

[OK]を 2 回クリックします。

基本認証を有効化する IIS 7.0 の構成

1. まず、/QvAjaxZfc フォルダのすべての認証をオフにします。

(5)

b. [Features View]で[Authentication]をダブルクリックします。

(6)

2. 次に、/QvAjaxZfc/Authenticate.aspx に基本認証を構成します。

a. IIS Manager を開き、/QvAjaxZfc の[virtual]フォルダに移動します。

b. [Content View]をクリックします。ファイルのリストが表示されます。

c.

Authenticate.aspx を右クリックし、ポップアップメニューから[Features View]を選択します。[Features

View]が表示され、左の[virtual]フォルダの下にファイルが表示されます。

(7)

d. [Authentication]をダブルクリックします。

e. 基本認証を有効化し、その他のオプションはすべて無効化します。オプションで、[Edit...]を選択すること

もできます。[Edit Basic Authentication Settings]ダイアログボックスが表示されますので、Realm

（「QlikView」など）を入力し、デフォルトドメインを入力します。サイトにログインしたときにドメインを指

定していないユーザーは、このドメインに対して認証されます。

(8)

3. /QvAjaxZfc/AccessPointSettings.aspx および/QvAjaxZfc/GetTicket.aspx を再構成します。

a. 上記の各ページで、先に説明したステップ（2a～2d）を実行します。

b. 次に、[Windows Integrated Authentication]のみ選択します。

(9)

セキュアソケットレイヤ（SSL）暗号化の設定

1. IIS Manager を開き、 [Default web site] を右クリックし、 [Properties] 、 [Directory Security] 、 [Secure

Communications]、[Edit]の順に選択します。「Require secure channel (SSL)」にチェックマークを入れます。

2. [OK]をクリックしてから、再度[OK]をクリックし、子ノードについて尋ねられたら、すべてのノードに安全な通信を

適用するよう選択します。

3. AccessPoint が https（https://localhost/qlikview）で機能することを確認します。証明書が証明機関で検証され

ていない場合は、証明書に関する警告を受けることがあります。

Press Release english

モバイル クライアントの基本認証

QlikView テクニカル ブリーフ

Published: November, 2011

はじめに

QlikView Server

をインストールする際、標準セキュリティ構成ではユーザー表示に

Windows

アカウントが、ユー

ザーの認証に

NTLM

が使用されます。ローカル エリア ネットワーク上では、

Active Directory

の構成は非常に簡

単です。しかしながら、モバイル デバイスの使用が普及したことで、

NTLM

使用時に共通の問題が生じています。

NTLM

は

Microsoft

プロトコルであるため、

Microsoft

以外の技術は

NTLM

の使用に問題を抱えています。

その

ため、Microsoft

ブラウザを使用しないモバイル デバイス上では、特に問題が発生します。また、ブラウザと、リバー

ス プロキシまたは

DMZ

などの

Web

サーバー間で他のネットワーク インフラを使用すると、

NTLM

による問題が頻

繁に発生します。

SSL

で基本認証を使用することは、

NTLM

の代替となる安全な方法です。このテクニカル ブリーフでは、

IIS

で機能

する基本認証の構成方法とユーザーを表示する

Windows

アカウントについて説明します。

このテクニカル ブリーフは、一般的な

QlikView

導入におけるセキュリティ問題の対処方法を詳細に述べてい

る

QlikView Security Overview Technology White Paper

の付属ドキュメントです。

基本認証とは?

基本認証は標準認証プロトコルであり、ユーザーはコンテンツにアクセスする際に有効なユーザー名とパスワードを提

供する必要があります。この認証プロトコルには特別なブラウザは不要です。すべての主要ブラウザがこのプロトコル

をサポートしています。基本認証はファイアーウォールとプロキシ サーバーでも機能します。

基本認証はいわゆる HTTP 認証プロトコルの 1 つであり、Web 機能の一部です。ユーザーが Web ページに詳細情

報を入力するフォーム認証とは対照的です。すべての HTTP 認証プロトコルと同様に、ブラウザが標準ポップアップ

ウィンドウにユーザー名とパスワードの入力を促します。Internet Explorer での例を以下に示します。ただし、Web

サーバーの QMC 設定のフォームを使用するという選択もでき、この場合もログイン ページが表示されます。

図 1：基本認証ポップアップ ダイアログ ボックス

基本認証は、暗号化されていない

base64

エンコード方式のパスワードをネットワーク上で送信するため、クライアン

トとサーバー間の接続が安全であることを認識している場合にのみ使用してください。暗号化されていなければ、ネッ

トワーク トラフィックを傍受する者は誰でもユーザーのパスワードを知ることができます。従って、セキュア ソケット レイ

ヤ（SSL）を使用して、接続が暗号化されていることを確認することが重要です（この要件は、

Google

、

Yahoo

、

Facebook

など、ほとんどすべての公開 Web サイトで使用されるフォーム認証の場合と同じです）。

IIS 構成

基本認証は Microsoft IIS を使用している場合にのみ使用できます。従って、QlikView Web Server の代わりに、

Web サーバーに IIS を使用する必要があります。Qlikview Server Reference Manual の「Running Microsoft

Internet Information Services」セクション（Chapter 2.5 Completing the Installation）の説明に従って、Qlikview IIS

Support をインストールしてください。

IIS の構成方法は IIS のバージョンによって異なります。IIS のバージョンはお使いの Windows のバージョンによって

異なります。以下をご参照ください。

•

モバイルクライアントの基本認証

QlikView テクニカルブリーフ

が使用されます。ローカルエリアネットワーク上では、

単です。しかしながら、モバイルデバイスの使用が普及したことで、

ブラウザを使用しないモバイルデバイス上では、特に問題が発生します。また、ブラウザと、リバー

スプロキシまたは

サーバー間で他のネットワークインフラを使用すると、

の代替となる安全な方法です。このテクニカルブリーフでは、

このテクニカルブリーフは、一般的な

をサポートしています。基本認証はファイアーウォールとプロキシサーバーでも機能します。

サーバーの QMC 設定のフォームを使用するという選択もでき、この場合もログインページが表示されます。

図 1：基本認証ポップアップダイアログボックス

トワークトラフィックを傍受する者は誰でもユーザーのパスワードを知ることができます。従って、セキュアソケットレイ

[Authenticated access]セクションで[Anonymous authentication]チェックボックスを選択し、それ以外

[Authenticated access]セクションで[BASIC authentication]チェックボックスを選択し、それ以外は選

するダイアログボックスが表示されます。[Yes]をクリックして続行します。

e. [Realm]ボックスに、「QlikView」などの値を入力します。これで、Realm メタベースプロパティの値が構

ダイアログボックスにその値が表示されます。Realm の値は情報提供のみを目的としてクライアントに

Authenticate.aspx を右クリックし、ポップアップメニューから[Features View]を選択します。[Features

もできます。[Edit Basic Authentication Settings]ダイアログボックスが表示されますので、Realm

（「QlikView」など）を入力し、デフォルトドメインを入力します。サイトにログインしたときにドメインを指

セキュアソケットレイヤ（SSL）暗号化の設定

IIS Manager を開き、 [Default web site] を右クリックし、 [Properties] 、 [Directory Security] 、 [Secure

Communications]、[Edit]の順に選択します。「Require secure channel (SSL)」にチェックマークを入れます。